Kimsuky 组织利用 TRANSLATEXT Chrome 扩展程序窃取敏感数据信息
内容提要
朝鲜黑客组织Kimsuky使用新型恶意Chrome扩展程序TRANSLATEXT窃取韩国学术界敏感信息。该组织还利用微软Office漏洞分发键盘记录程序,并使用工作主题诱饵攻击航空航天和国防部门。恶意程序后门允许攻击者执行侦察和远程控制。攻击通过鱼叉式网络钓鱼和社交工程激活感染链。TRANSLATEXT扩展包含JavaScript代码,可绕过谷歌等服务的安全措施,窃取电子邮件地址、凭证、cookie和浏览器截图。Kimsuky的目标是监视韩国学术界和政府人员,收集情报。
关键要点
-
Kimsuky 是一个朝鲜黑客组织,自 2012 年以来主要针对韩国进行网络间谍和金融攻击。
-
Kimsuky 使用名为 TRANSLATEXT 的恶意 Chrome 扩展程序,窃取电子邮件地址、用户名、密码、cookie 和浏览器截图。
-
该组织的攻击目标主要是韩国学术界,特别是关注朝鲜政治事务的人员。
-
Kimsuky 利用微软 Office 的安全漏洞分发键盘记录程序,并在航空航天和国防部门的攻击中使用工作主题诱饵。
-
恶意程序后门允许攻击者执行侦察和远程控制,激活感染链的方式包括鱼叉式网络钓鱼和社交工程。
-
攻击活动通常通过 ZIP 压缩包传播,包含恶意文档和可执行文件,启动后会下载 PowerShell 脚本。
-
TRANSLATEXT 扩展程序包含 JavaScript 代码,可以绕过多种服务的安全措施,窃取敏感信息。
-
Kimsuky 的主要目标是监视韩国学术界和政府人员,以收集有价值的情报。
延伸问答
Kimsuky组织的主要目标是什么?
Kimsuky组织的主要目标是监视韩国学术界和政府人员,以收集有价值的情报。
TRANSLATEXT扩展程序是如何窃取敏感信息的?
TRANSLATEXT扩展程序通过包含JavaScript代码,绕过安全措施,窃取电子邮件地址、凭证、cookie和浏览器截图。
Kimsuky是如何进行网络攻击的?
Kimsuky通过鱼叉式网络钓鱼和社交工程攻击激活感染链,利用ZIP压缩包传播恶意文档和可执行文件。
Kimsuky使用了哪些技术手段进行攻击?
Kimsuky利用微软Office的安全漏洞分发键盘记录程序,并使用伪装成工作主题的诱饵进行攻击。
TRANSLATEXT扩展程序的传播方式是什么?
TRANSLATEXT扩展程序通过GitHub存储库传播,曾以'GoogleTranslate.crx'的名义托管。
Kimsuky组织的历史背景是什么?
Kimsuky是一个朝鲜黑客组织,自2012年以来主要针对韩国进行网络间谍和金融攻击。
